一种恶意挖矿检测处理方法和装置与流程

1.本发明涉及网络安全技术领域，具体涉及一种恶意挖矿检测处理方法和装置。


背景技术：

2.比特币挖矿是通过算力(核算量)来获取比特币区块打包权的方法，当取得区块打包权之后矿工会获取到相应的比特币奖赏。这个过程中会占用主机的大量资源，包括cpu、内存、连接数等。随着比特币的日益增长，利用挖矿木马病毒进行非法挖矿成为了最有利可图的攻击手段。云平台租户非法挖矿存在的问题包括：首先，公有云平台主要是通过超分来实现盈利，一般情况下大部分租户的cpu、内存不会长时间高负荷运行，而挖矿会使cpu、内存资源被长期高负荷占用，导致超分减少，影响公有云运营商的经济收益；其次，挖矿占用大量cpu、内存、连接资源，租户自身的应用受影响；最后，其他租户也容易感染挖矿木马病毒，进而影响整个云平台的安全。
3.云平台租户如果发现自己的云主机存在恶意挖矿行为，可采取相应的恶意挖矿检测技术主动防御措施。然而，现有的恶意挖矿检测技术主要是基于主机内部监控技术，需要在主机内部安装客户端，且需要主机不断更新该客户端的特征库，如果是云平台上租户的云主机，需要租户配合，使用较为不便；另外，现有的恶意挖矿防御和处理技术存在如下缺陷：现有的方法主要是基于主机的进程、数据等，通过阻断主机的进程来实现，如果在云平台上则必须在租户云主机内部操作，但是公有云运营商没有租户云主机的权限，导致无法使用现有的防御和处理技术来处理恶意挖矿。


技术实现要素：

4.鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意挖矿检测处理方法和装置。
5.根据本发明的一个方面，提供了一种恶意挖矿检测处理方法，包括：
6.获取云平台实时采集到的租户云主机的监控数据，将所述监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；
7.若确定触发预警，则向所述云平台发送预警信息，并从所述云平台中调取在触发预警时刻之前的预设时间段内采集到的所述租户云主机的历史监控数据；
8.根据所述历史监控数据，检测所述租户云主机是否存在挖矿行为；
9.若存在挖矿行为，则通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理。
10.根据本发明的另一方面，提供了一种恶意挖矿检测处理装置，包括：
11.监控模块，用于获取云平台实时采集到的租户云主机的监控数据，将所述监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；
12.预警模块，用于若确定触发预警，则向所述云平台发送预警信息，并从所述云平台中调取在触发预警时刻之前的预设时间段内采集到的所述租户云主机的历史监控数据；
13.检测模块，用于根据所述历史监控数据，检测所述租户云主机是否存在挖矿行为；
14.处理模块，用于若存在挖矿行为，则通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理。
15.根据本发明的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
16.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述恶意挖矿检测处理方法对应的操作。
17.根据本发明的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述恶意挖矿检测处理方法对应的操作。
18.根据本发明的一种恶意挖矿检测处理方法和装置，通过获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据；根据历史监控数据，检测租户云主机是否存在挖矿行为；若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。本发明通过在云平台上对恶意挖矿进行检测处理，检测针对租户云主机的挖矿行为并对其进行阻断处理，通过云平台上即可实现阻断恶意挖矿，无需租户配合，解决了现有技术无法对恶意挖矿进行主动防御的技术问题。
19.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
20.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
21.图1示出了本发明实施例提供的一种恶意挖矿检测处理方法的流程图；
22.图2示出了本发明实施例提供的一种恶意挖矿检测处理装置的结构示意图；
23.图3示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
24.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
25.图1示出了本发明一种恶意挖矿检测处理方法实施例的流程图，如图1所示，该方法包括以下步骤：
26.s101：获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警。
27.在一种可选的方式中，监控数据至少包括以下数据中的一项或多项：cpu利用率、内存利用率、流量信息、连接信息以及端口信息。
28.具体地说，通过云平台可以实时获取租户云主机的内存利用率、流量信息、连接信息以及端口信息等监控数据，将这些监控数据与云平台预设的预警指标数据分别进行比对，若监控数据达到或超过预设的预警指标数据则触发报警，若监控数据低于预设的预警指标数据则不处理。
29.s102：若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据。
30.在本步骤中，若步骤s101采集的监控数据达到或超过预设的预警指标数据则触发报警，即发送预警信息给云平台，并通过云平台调取触发预警时刻之前的预设时间段内的采集到的租户云主机的历史监控数据，以便用于进一步分析判断，该预设时间段可以根据实际情况进行设置，例如一小时、一个月或一个星期等。
31.s103：根据历史监控数据，检测租户云主机是否存在挖矿行为。
32.在一种可选的方式中，步骤s103进一步包括：将历史监控数据输入至经过训练的挖矿行为检测模型中，利用挖矿行为检测模型对租户云主机存在挖矿行为的概率进行检测，得到挖矿概率；根据挖矿概率判断租户云主机是否存在挖矿行为。
33.在一种可选的方式中，该方法还包括：收集多个样本云主机在预设时间段内的历史监控数据以及多个样本云主机对应的挖矿行为判定结果，构建训练样本集合；利用训练样本集合中的多个样本云主机的历史监控数据以及多个样本云主机对应的挖矿行为判定结果进行模型训练，得到经过训练的挖矿行为检测模型。
34.具体地说，收集多个样本云主机在预设时间段内的海量历史监控数据以及多个样本云主机对应的海量挖矿行为判定结果，构建训练样本集合，通过大数据分析技术，针对历史监控数据以及多个样本云主机对应的挖矿行为判定结果，通过机器学习方法进行模型训练，生成挖矿行为检测模型；步骤s102确定触发预警之后，从云平台调取在触发预警时刻之前的预设时间段(如一个星期)内采集到的租户云主机的历史监控数据，输入至该经过训练的挖矿行为检测模型中，经该挖矿行为检测模型检测后，得出租户云主机存在挖矿行为的概率，根据该挖矿概率判断租户云主机是否存在挖矿行为，具体地，可以根据历史经验评估该挖矿概率。租户或云平台可设置要求高规格的防御，例如设置挖矿概率超过60％则判定租户云主机存在挖矿行为；租户或云平台也可设置一般规格的防御，例如设置挖矿概率超过80％则判定租户云主机存在挖矿行为；或者，租户或云平台可以根据自身需求设置该挖矿概率阈值。
35.s104：若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。
36.在一种可选的方式中，步骤s104进一步包括：通过云平台的防火墙阻断指定域名、指定ip和/或指定端口对租户云主机的访问，以阻断挖矿行为；和/或，通过云平台限制租户云主机的处理资源，以阻断挖矿行为。
37.在本步骤中，若存在挖矿行为，依据云平台采集的该挖矿行为在租户云主机的监控数据，对该挖矿行为进行阻断处理。具体地说，可以通过云平台限制租户云主机的cpu利用率和内存利用率，以阻断挖矿行为；或者通过云平台的防火墙阻断指定域名、指定ip和/或指定端口对租户云主机的访问，以阻断挖矿行为。其中，指定域名、指定ip和指定端口可
为挖矿行为可能使用的域名、ip和端口。
38.在一种可选的方式中，该方法还包括：验证针对挖矿行为的阻断处理是否有效；若有效，则根据租户云主机的历史监控数据、挖矿概率以及验证结果，确定新样本云主机的历史监控数据以及新样本云主机对应的挖矿行为判定结果，并添加至训练样本集合中，以对训练样本集合进行更新；利用更新后的训练样本集合，对挖矿行为检测模型进行更新训练；若无效，则重新通过云平台对租户云主机中的挖矿行为进行阻断处理。
39.具体地说，为了确保对挖矿行为的有效阻断，通过步骤s104对挖矿行为阻断处理之后，需要验证针对挖矿行为的阻断处理是否有效，并需要确保租户的业务在阻断处理后不受影响，若挖矿行为的阻断处理有效且租户的业务未受到影响，则根据租户云主机的历史监控数据、挖矿概率以及验证结果，确定新样本云主机的历史监控数据以及新样本云主机对应的挖矿行为判定结果，并添加至训练样本集合中，以对训练样本集合进行更新，利用更新后的训练样本集合，对挖矿行为检测模型进行更新训练，从而提高挖矿行为检测模型的判断准确率。
40.采用本实施例的这种方法，通过在云平台上对恶意挖矿进行检测处理，检测针对租户云主机的挖矿行为并对其进行阻断处理，通过云平台防火墙的阻断处理及资源限制即可实现阻断恶意挖矿，无需租户配合，同时，利用海量数据训练得到的挖矿行为检测模型，并根据对挖矿行为的阻断处理验证结果对挖矿行为检测模型进行自动更新训练，从而提高挖矿行为检测的准确率，该方法弥补了现有的恶意挖矿防御技术只能基于租户云主机的进程信息和数据信息且必须在租户云主机内部操作的不足，解决了租户云主机因木马等原因被动挖矿，公有云无法监控的问题，使得公有云运营商即便没有租户云主机的权限，也可以实现对挖矿行为的自动检测和处理。
41.图2示出了本发明一种恶意挖矿检测处理装置实施例的结构示意图。如图2所示，该装置包括：监控模块201、预警模块202、检测模块203、处理模块204和验证模块205。
42.监控模块201，用于获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警。
43.在一种可选的方式中，监控数据至少包括以下数据中的一项或多项：cpu利用率、内存利用率、流量信息、连接信息以及端口信息。
44.预警模块202，用于若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据。
45.检测模块203，用于根据历史监控数据，检测租户云主机是否存在挖矿行为。
46.在一种可选的方式中，检测模块203进一步用于：将历史监控数据输入至经过训练的挖矿行为检测模型中，利用挖矿行为检测模型对租户云主机存在挖矿行为的概率进行检测，得到挖矿概率；根据挖矿概率判断租户云主机是否存在挖矿行为。
47.在一种可选的方式中，该装置还包括挖矿行为检测模型训练模块(图中未示出)，用于收集多个样本云主机在预设时间段内的历史监控数据以及多个样本云主机对应的挖矿行为判定结果，构建训练样本集合；利用训练样本集合中的多个样本云主机的历史监控数据以及多个样本云主机对应的挖矿行为判定结果进行模型训练，得到经过训练的挖矿行为检测模型。
48.处理模块204，用于若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进
行阻断处理。
49.在一种可选的方式中，处理模块204进一步用于：通过云平台的防火墙阻断指定域名、指定ip和/或指定端口对租户云主机的访问，以阻断挖矿行为；和/或，通过云平台限制租户云主机的处理资源，以阻断挖矿行为。
50.在一种可选的方式中，该装置还包括验证模块205，用于验证针对挖矿行为的阻断处理是否有效；若有效，则根据租户云主机的历史监控数据、挖矿概率以及验证结果，确定新样本云主机的历史监控数据以及新样本云主机对应的挖矿行为判定结果，并添加至训练样本集合中，以对训练样本集合进行更新；利用更新后的训练样本集合，对挖矿行为检测模型进行更新训练；若无效，则重新通过云平台对租户云主机中的挖矿行为进行阻断处理。
51.采用本实施例的这种装置，通过获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据；根据历史监控数据，检测租户云主机是否存在挖矿行为；若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。该装置通过在云平台上对恶意挖矿进行检测处理，检测针对租户云主机的挖矿行为并对其进行阻断处理，通过云平台上即可实现阻断恶意挖矿，无需租户配合，同时，利用海量数据训练得到的挖矿行为检测模型，并根据对挖矿行为的阻断处理验证结果对挖矿行为检测模型进行自动更新训练，从而提高挖矿行为检测的准确率，该方法弥补了现有的恶意挖矿防御技术只能基于租户云主机的进程信息和数据信息且必须在租户云主机内部操作的不足，解决了租户云主机因木马等原因被动挖矿，公有云无法监控的问题，使得公有云运营商即便没有租户云主机的权限，也可以实现对挖矿行为的自动检测和处理。
52.本发明实施例提供了一种非易失性计算机存储介质，计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的恶意挖矿检测处理方法。
53.可执行指令具体可以用于使得处理器执行以下操作：
54.获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；
55.若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据；
56.根据历史监控数据，检测租户云主机是否存在挖矿行为；
57.若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。
58.图3示出了本发明计算设备实施例的结构示意图，本发明具体实施例并不对计算设备的具体实现做限定。
59.如图3所示，该计算设备可以包括：
60.处理器(processor)、通信接口(communications interface)、存储器(memory)、以及通信总线。
61.其中：处理器、通信接口、以及存储器通过通信总线完成相互间的通信。通信接口，用于与其它设备比如客户端或其它服务器等的网元通信。处理器，用于执行程序，具体可以执行上述恶意挖矿检测处理方法实施例中的相关步骤。
62.具体地，程序可以包括程序代码，该程序代码包括计算机操作指令。
63.处理器可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。服务器包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
64.存储器，用于存放程序。存储器可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
65.程序具体可以用于使得处理器执行以下操作：
66.获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；
67.若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据；
68.根据历史监控数据，检测租户云主机是否存在挖矿行为；
69.若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。
70.在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
71.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
72.类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
73.本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
74.此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围
之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
75.本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
76.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。